实物地质资料服务网络建设
姚聿涛 高建伟
(国土资源实物地质资源中心)
摘要:本文总结了实物地质资料中心网络服务体系建设现状,通过办公内部网与对外服务网整合,按照网络整合指导思想与设计原则,构建安全、快速、稳定的实物地质资料服务网络体系。
关键词:网络服务;内外网整合;安全策略
中国实物地质资料信息网作为中心对外网络服务窗口,提供实物地质资料信息浏览,条件检索,图形检索,数字实物地质资料展厅等科普服务。以网络环境作为基础支撑。
一、现状与问题
第一,外网服务为中国电信44M光纤专线接入到Internet互联网,内部办公网络为国家地质调查广域网10M专线连接局及局属单位。
第二,网络结构存在瓶颈,会出现网络拥塞。内部办公和外网服务相对独立,内部办公网与Internet互联后会影响视频会议,IP电话,公文流转等关键业务,出现视频图像延时,公文系统打开缓慢等现象。
第三,网络改造前实物中心部分职工使用双网卡通过地质调查专线接入互联网,客户端为千兆接入到内网,独立网卡百兆接入到ADSL路由器。客户端路由转发策略10.84.0.0请求转发到 地调骨干网,默认路由0.0.0.0请求转发到ADSL路由,策略如下所示:
表1:改造前客户端双网卡路由转发策略
|
策 略 |
策略说明 |
|
ip route add 10.84.0.0 mask 255.255.0.0 10.84.*.254 -p |
*为用户所在vlan,-p地址添加永久路由 |
|
ip route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 -p |
192.168.1.1为ADSL路由器网关地址,如没有路由,使用拨号方式填入静态IP地址 |
二、网络体系建设与整合指导思想
首先明确外部网络系统建设的目的是为中国实物地质资料信息网提供安全、稳定、快速的网络支持。通过内外网整合,保障内部视频会议、办公系统等通讯流畅,满足内部办公访问互联网的流畅,利用中心外网对外服务的流畅。
建设和设计根据中心网络应用特点和投入情况,先搭建小而全的网络平台,确保系统性和可扩展性。设计时保障内网与外网服务逻辑隔离,经两道防火墙过滤外网病毒及黑客攻击。
三、网络整合实施方案
地调骨干网部署了视频会议、网络电话、办公信息发布和公文系统等服务,因受地调骨干网10M带宽限制,很难满足办公上网速度要求。网络室针对中心网络需求特点和信息点分布情况,进行了科学分析,合理规划,决定进行拓扑和设备调整。在硬件防火墙节点做网络分流,办公系统、视频会议和图书馆资源数据请求转发到地调骨干网Cisco 7304路由器上,其他办公上网数据请求转发到电信光纤路由Cisco 3925。网络改造后针对不同接入请求进行合理转发,数据分流后办公和上网均安全、快速、稳定。
实物地质资料中心对外服务网上,建立网站管理系统,发布实物资料检索系统、地图检索系统、三维标本实物展厅系统。地调骨干网上部署视频会议系统;VOIP网络电话;内网办公信息发布门户、公文系统,域控服务和腾讯消息短信服务。中心机房改造前,44M专线连接到中国电信燕郊分公司。10M和地调骨干网连接到中国地质调查局网络拓扑结构(图1,图2)。
图1 改造前地质调查广域网拓扑
图2 改造前中心实物资料信息网连接图
改造后拓扑图设计相对于原先设置的优势在于请求访问需要经过地调广域网经过发展研究中心和实物中心两道防火墙,外网访问仅开放DMZ服务区的网站服务80和地图服务8081端口。内网端口区域默认禁止外网访问。外网出口经过外网和内网两道防火墙,比原来单道防火墙更安全。防火墙策略调整如下:
|
外网 防火墙 |
DMZ区 |
网段 10.84.12.* |
Eth端口区域属性默认禁止 |
|
中国实物地质资料信息网 |
开启80和8081端口服务 |
||
|
管理员区 |
网段 10.84.13.* |
Eth端口属性默认禁止 |
|
|
网络信息室管理员网段 |
访问DMZ区主机远程端口 |
||
|
webout区 |
开启内网访问到Internet |
Eth端口属性默认允许 |
|
|
内网 防火墙 |
CGS区 |
中国地质调查局网段 |
端口属性默认允许 |
|
地质图书馆网段 |
地质图书馆请求转发到CGS |
||
|
内网区 |
网段10.84.*.* |
Eth端口属性默认禁止 |
|
|
10.0.0.0转发到CGS |
路由0.0.0.0转发到webout |
图3 改造后中心网络拓扑图
四、结语
实物资料中心网络系统经过改进整合后,基本消除了拥塞现象,初步建成了稳定安全的网络系统,保障了网上各项业务的开展。
